X-ray billeder, der viser en indre pacemaker i 1962Photo: AP
Food and Drug Administration ikke har en stærk nok procedurer på plads til at reagere på cybersecurity problemer med medicinsk udstyr, der allerede er i brug, ifølge en rapport offentliggjort i denne uge af Office of the Inspector General (OIG), agenturet ‘ s vagthund.
Medicinsk udstyr omfatter alt fra pacemaker til insulinpumper, og dem, der er forbundet til internettet, kan være sårbare over for hacking—udgør en risiko for folkesundheden. Ifølge OIG, FDA, som fører tilsyn med og overvåger medicinsk udstyr, og er ikke parat til at reagere på cybersecurity nødsituationer. Analysen fandt også, at to af FDA ‘ s 19 district-kontorer, der ikke har skriftlige procedurer for tilbagekaldelse af sårbare medicinsk udstyr.
Det OIG anbefales, at FDA “løbende vurdere cybersecurity risici for medicinsk udstyr og opdatering, som passende, planer og strategier” og “at sikre etablering og vedligeholdelse af procedurer for håndtering af minder af medicinsk udstyr sårbare over for cybersikkerhed trusler.” Det anbefales også, at FDA partner med andre føderale agenturer rundt om spørgsmål af cybersecurity, og etablere protokoller til at dele cybersecurity oplysninger med interessenter.
“Jeg behøver ikke nødvendigvis føler chokeret, eller føler, at der ikke var nogen væsentlige mangler, der ville få mig til at få mig til at miste noget af troen på, hvad FDA er i øjeblikket at gøre,” Jeff Tully, en cybersecurity, forsker og læge ved University of California, Davis Medical Center, fortalte Gizmodo. “Jeg tror, der er nogle gode anbefalinger, og tilsyn og ansvarlighed er god. Men vi ser ikke mangler i områder, hvor patienterne er i fare.”
FDA er aftalt med OIGs overordnede anbefalinger, men anfægter, at konklusionerne om, at dets eksisterende politikker, der var utilstrækkelig til at håndtere problemer, der kan opstå, siger, at rapporten gav et ufuldstændigt og forkert billede af FDA ‘ s overvågning af medicinsk udstyr cybersecurity i postmarket fase.”
Det OIG gennemførte sin undersøgelse i 2016 og 2017, og FDA rettet nogle af de konstaterede mangler før offentliggørelsen af rapporten.
FDA kontrol af medicinsk udstyr, der kommer i to faser: før markedsføring, når det vurderer sikkerheden og effektiviteten af enheder, før de er godkendt, og postmarket, når den overvåger overvågning udført af virksomheder af produkter, mens de er i brug. Virksomheder er nødt til at anmelde enhver fejl eller skader, der er til agenturet, og nogle bliver bedt om at foretage en mere stringent, supplerende undersøgelser.
Tully sagde, at FDA har gjort et godt stykke arbejde, der arbejder sammen med forskellige interessenter omkring spørgsmål af cybersecurity, opbygning af relationer med leverandører, klinikere og uafhængige cybersecurity eksperter. “Forholdet mellem FDA og uafhængige eksperter, der er ved at komme til sin egen, og det er sundt,” sagde han. Han påpegede også, at tilbagekaldelse af Medtronic hjerte-enheder, som kom, efter at uafhængige forskere, der er identificeret sårbarheder, som ville give dem mulighed for at hacke og ændre pacemakere.
Cybersecurity i medicinsk udstyr er et relativt nyt fokusområde, Tully sagde. “Det er 10 til 15 år bag kolleger i økonomiafdelingen,” sagde han. “Det er kun noget vi har tænkt på i de sidste 10 år eller så, og først for nylig er noget, vi indså, at vi er nødt til at tænke som alle andre elementer i enheden. Den plads er stadig meget nyt.”
Det OIG også analyseret FDA ‘ s før markedsføring cybersecurity politikker i September, og anbefalede, at agenturet tage en mere omfattende tilgang til at evaluere potentielle cybersecurity trusler i løbet af revisionsprocessen, som FDA har aftalt at gøre. FDA også offentliggjort en ny før markedsføring cybersecurity anbefalinger til industrien, der omfatter at sikre, at enheder kan scannes jævnligt for virus, og kan advare brugeren, hvis et sikkerhedsbrud, der er fundet, i oktober. Tully sagde, at han forventer, at agenturet vil offentliggøre nye postmarket retningslinjer i den nærmeste fremtid.
Dele Denne Historie